Wykryto malware, które blokuje zabezpieczenia za pomocą mechanizmów systemowych Windowsa
Specjaliści z laboratorium antywirusowego Trend Micro natknęli się na nietypowe szkodliwe oprogramowanie. Zostało ono wykryte i dokładnie przenalizowane w trakcie reakcji na atak, jakiego ofiarą stały się niektóre japońskie banki. Zagrożenie zostało nazwane BKDR_VAWTRAK, jest nietypowe, ponieważ do ataku wykorzystywało mechanizm Software Restriction Policies, systemową funkcję, która odpowiada za obniżanie uprawnień aplikacji. Malware wykorzystało go w ironiczny sposób, obniżając uprawnienia oprogramowania zabezpieczającego i tym samym blokując je.
Zabezpieczenie Software Restriction Policies zostało wprowadzone wraz z Windows XP i Windows Server 2003. W swoich założeniach jest to bardzo mocny mechanizm, pozwalający na znaczną kontrolę nad aplikacjami. Choć użytkownicy domowi rzadko wiedzą o jego istnieniu, a jeszcze rzadziej z niego korzystają, można dzięki niemu zabezpieczyć system na wypadek uruchamiania nieznanego oprogramowania. Według oficjalnych informacji firmy Microsoft, SRP pozwala na walkę z wirusami, ustalanie, jakie kontrolki ActiveX mogą być pobierane, a także wymuszenie uruchamiania jedynie skryptów podpisanych cyfrowo. Dzięki zestawowi reguł, administrator może zarówno zablokować niechciane aplikacje, jak i zadziałać w sposób odwrotny: stworzyć białą listę programów, które mogą zostać uruchomione. Wszystkie pozostałe pliki wykonywalne, które nie znajdują się na tej liście zostaną automatycznie zablokowane. SRP pozwala także na zupełne zablokowanie komputera.
Reguły używane przez Software Restriction Policies są oparte na hashach pliku (MD5 lub SHA1), certyfikacie jakim są one podpisywane, bądź określonej ścieżce. Możliwe jest także regulowanie dostępu za pomocą stref internetowych (Internet, intranet, zaufane witryny, witryny z ograniczeniami i host lokalny). Wspomniane zagrożenie wykorzystuje ścieżkę do aplikacji, dodając do gałęzi HKEY_LOCAL_MACHINE\SOFTWARE rejestru systemowego odpowiedni wpis. Jako, że ścieżka może być w zasadzie dowolna, możliwe jest zablokowanie każdej aplikacji znajdującej się w katalogach Program Files, oraz folderach kont użytkowników. Firma Trend Micro opublikowała w związku z tym listę oprogramowania zabezpieczającego, które może zostać zablokowane przez BKDR_VAWTRAK. Lista jest długa, z samych najpopularniejszych aplikacji wymienić możemy: produkty AVAST, AVG, Avirę, BitDefendera, ESETa, G Datę, Kasperskyego, Malwarebytes, oferowany przez Microsoft Security Essentials, Nortona, Pandę, a także samego Trend Micro. Na liście znajduje się także niezbyt popularne oprogramowanie chroniące innymi metodami: DefenseWall HIPS czy piaskownica Sandboxie.
Malware wykrywa, czy w systemie istnieją katalogi jakichś z wymienionych programów. Jeżeli tak, dodaje do rejestru odpowiednie wpisy, w efekcie czego aplikacje zabezpieczające są zablokowane przez sam system operacyjny, a intruz ma wolną drogę do dalszego ataku. Ochrona przed takim zagrożeniem może być realizowana w dwojaki sposób: albo zostanie ono wykryte przez oprogramowanie antywirusowe (co nie jest gwarantowane, chociażby ze względu na to, że malware szybko „mutuje”), albo użytkownik korzysta z monitora zachowania lub piaskownicy i właśnie w nich uruchamia nieznane oprogramowanie. Jeżeli fakt pojawienia się w systemie tego typu szkodliwego oprogramowania nie zostanie wykryty dostatecznie szybko, może ono bezkarnie wyłączyć zabezpieczenia.
